Hacker setzen zunehmend auf Innentäter

Mehrere Tausend US-Dollar oder Euro – manchmal sogar deutlich mehr – locken Mitarbeitende dazu, ihre eigenen Unternehmen zu verraten. Sicherheitsforscher von Check Point beobachten derzeit eine wachsende Zahl solcher Angebote in Darknet-Foren. Für Zugangsdaten, interne Informationen oder direkten Systemzugriff werden aktuell zwischen 3.000 und 15.000 US-Dollar geboten. Besonders im Fokus stehen Krypto-Börsen, Banken und Cloud-Anbieter.

Der Trend zeigt: Klassische Schutzmaßnahmen allein reichen nicht mehr aus. Wirksame Prävention erfordert heute geschulte Mitarbeitende, strenge Zugriffskontrollen und eine aktive Überwachung des Darknets auf Hinweise, die das eigene Unternehmen betreffen.

Check Point Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, warnt vor einer wachsenden Insider-Bedrohung . Cyber-Kriminelle verändern ihre Strategien: Statt ausschließlich auf Brute-Force-Angriffe, Social Engineering oder das Ausnutzen technischer Schwachstellen zu setzen, rekrutieren sie gezielt Mitarbeitende innerhalb von Organisationen. Diese Insider verschaffen Angreifern direkten Zugang zu Unternehmensnetzwerken, Endgeräten oder Cloud-Umgebungen – oft ohne technische Hürden überwinden zu müssen.

Darknet als Marktplatz für Unternehmenszugänge

In einschlägigen Darknet-Foren werden Mitarbeitende aktiv angesprochen – teilweise melden sie sich auch selbst. Angeboten werden Zugänge, Anmeldedaten oder sensible Informationen, bezahlt mit anonymen Kryptowährungen. Für Sicherheitsverantwortliche stellt das eine enorme Herausforderung dar. Denn sobald Insider Schutzmechanismen umgehen, Zugangsdaten weitergeben oder privilegierte Informationen offenlegen, vervielfacht sich die Wirkung eines Angriffs. Deshalb ist die Überwachung von Deep Web und Darknet heute ebenso wichtig wie moderne Präventionstechnologien.

Emotionale Manipulation und hohe Versprechen

Viele dieser „Stellenanzeigen“ sind nüchtern formuliert, einige setzen jedoch gezielt auf emotionale Ansprache. So versprach eine Anzeige im Juli 2025 den „Ausbruch aus dem endlosen Hamsterrad“ – verbunden mit Auszahlungen im fünf- bis sechsstelligen Bereich. Andere Angebote richten sich explizit an langjährige Mitarbeitende mit umfangreichen Zugriffsrechten und stellen die Zusammenarbeit mit Hackern als schnellen Weg zur finanziellen Freiheit dar.

Finanz- und Krypto-Unternehmen besonders im Visier

Ein Großteil der beobachteten Insider-Anwerbungen zielt auf Finanzinstitute und Krypto-Unternehmen. In aktuellen Anzeigen wurden unter anderem Mitarbeitende von Coinbase, Binance, Kraken und Gemini gesucht, ebenso wie bei großen Beratungsunternehmen wie Accenture oder Genpact. Sogar Plattformen wie Spotify oder Netflix tauchten in den Angeboten auf. Die Bezahlung liegt meist bei 3.000 bis 15.000 US-Dollar für einmaligen Zugriff oder spezifische Informationen. In einigen Fällen wurden komplette Datensätze angeboten – etwa 37 Millionen Nutzerdaten einer Krypto-Börse für 25.000 US-Dollar. Solche Daten ermöglichen extrem zielgerichtete Angriffe.

Banken: besonders wertvolle Ziele

Insider in Banken gelten als besonders lukrativ. In einem Darknet-Beitrag wurde beispielsweise Zugang zu Systemen der US-Notenbank oder ihrer Partnerbanken gesucht. Andere Anzeigen forderten vollständige Transaktionshistorien großer europäischer Banken an. Einige Modelle setzen sogar auf langfristige Zusammenarbeit: Angeboten wurden wöchentliche Zahlungen von 1.000 US-Dollar an Insider in staatlichen Finanzinstitutionen.

Technologie-, Telekommunikations- und Logistikunternehmen unter Druck

Auch Technologieunternehmen stehen im Fokus, insbesondere wenn sie sensible Kundendaten speichern oder Teil kritischer Lieferketten sind. Zu den jüngsten Beobachtungen zählen:

• Gesuche nach Insidern bei Apple, Samsung und Xiaomi
• Anfragen an Mitarbeitende von Cox Communications, um Kunden-E-Mail-Konten zurückzusetzen
• Angebote von bis zu 10.000 US-Dollar für Insider bei Cloud-Service-Anbietern Im Telekommunikationsbereich werden Mitarbeitende häufig für SIM-Swapping-Angriffe rekrutiert, mit denen Angreifer Zwei-Faktor-Authentifizierungen umgehen. Die Vergütung liegt hier inzwischen bei 10.000 bis 15.000 US-Dollar. Auch die Logistikbranche ist betroffen: Gesucht werden Insider, die bei Zollabfertigungen oder Versandprozessen manipulieren können – mit Zahlungen zwischen 500 und 5.000 US-Dollar.

Ransomware-Gruppen rekrutieren über Telegram

Die Anwerbung beschränkt sich längst nicht mehr auf klassische Darknet-Foren. Ransomware-Gruppen nutzen zunehmend verschlüsselte Plattformen wie Telegram, um Insider, Pentester oder Access Broker zu gewinnen. Im Juli 2025 warb eine Gruppe mit rund 400 Mitgliedern offen für den Zugang zu einem Ransomware-Portal – mit Gewinnbeteiligung an jedem kompromittierten System.

Eine der größten Herausforderungen der Cyber-Sicherheit

Die zunehmende Rekrutierung von Innentätern verdeutlicht eine der komplexesten Bedrohungen der modernen Cyber-Sicherheit. Während einige Mitarbeitende aus finanziellen Motiven handeln, spielen auch Rache, Frustration oder ideologische Gründe eine Rolle. Anonyme Kryptowährungszahlungen beschleunigen diese Entwicklung zusätzlich. Für Unternehmen gehen die Folgen weit über finanzielle Schäden hinaus: Reputationsverlust, Betriebsunterbrechungen und regulatorische Strafen sind reale Risiken.

So können sich Unternehmen schützen

Der Schutz vor Insider-Bedrohungen erfordert ein Zusammenspiel aus Technologie und Unternehmenskultur:

• Mitarbeitende regelmäßig zu Sicherheitsrisiken und Verantwortung schulen
• Auffälliges Verhalten überwachen und Zugriffsrechte strikt begrenzen
• Darknet und Deep Web aktiv nach Hinweisen auf das eigene Unternehmen durchsuchen
• Moderne Cyber-Sicherheitslösungen zur Prävention einsetzen